Max Home IndustryВредоносный пакет PyPI использовался для установки криптомайнера Monero на Linux-системы.
Пакет, о котором идет речь, secretslib, был размещен в официальном репозитории сторонних программ для Python 6 августа 2022 года. Пакет был описан как «secretslib» — «secrets matching and verification made easy».
Автоматическая система обнаружения вредоносных программ Sonatype отметила secretslib как потенциально вредоносный. Дальнейший анализ подтвердил правильность ее подозрений.
«Пакет скрытно запускает криптомайнеры на вашей Linux-машине in-memory (непосредственно из оперативной памяти), эта техника в основном используется безфайловыми вредоносными программами и криптерами», — написал в своем отчете исследователь Sonatype Акс Шарма.
Когда secretslib установлен, он загружает файл под названием tox, предоставляет ему разрешения на выполнение, запускает его с повышенными правами, а затем удаляет файл после завершения работы.
«Удаление исполняемого файла удаляет содержащуюся в нем отладочную информацию, которая в противном случае помогла бы реверс-инженеру лучше понять, что делает программа», — объясняет Шарма.
Вредоносный код, запущенный tox, представляет собой криптомайнер, который добывает приватную монету Monero.
Тот, кто создал secretslib, использовал имя и информацию реального инженера-программиста, работающего в расположенной в Иллинойсе научной и инженерной исследовательской лаборатории Argonne National Laboratory (ANL). Многие сотрудники и помощники ANL в какой-то момент внесли законный вклад в реестр PyPI.
«Возможно, это побудило угрожающего субъекта использовать личность реального сотрудника; ввести пользователей в заблуждение и подмешать secretslib в один из законных и безопасных пакетов, ранее опубликованных исследователями ANL», — теоретизирует Шарма.
К счастью, secretslib был загружен менее 100 раз, прежде чем его удалили.